ChatGPT è il prototipo di chatbot basato su AI e machine learning realizzato da OpenAI che simula il linguaggio umano e con cui è possibile conversare. L’acronimo GPT (Generative Pre-trained Transformer) significa letteralmente ‘trasformatore pre-addestrato generativo’. I transformer sono un tipo avanzato di modelli di linguaggio basati su machine learning. In particolare, ChatGPT è l’evoluzione di un modello anteriore chiamato GPT-3.5, ottenuto tramite apprendimento supervisionato e apprendimento per rinforzo. Di fatto, se ChatGPT per molti è una rivoluzione tecnologica che stravolgerà l’intera società, c’è chi si chiede se sia pericoloso per l’integrità delle persone online e offline. Ad esempio, se possa essere utilizzato da criminali informatici per rendere più efficaci i cyber attacchi.
Un modello in continuo “apprendimento”
Le applicazioni pratiche di GPT sono molte: chatbot personalizzata, traduzione automatica, creazione e analisi di contenuti, produzione di notizie e contenuti informativi, completamento e suggerimento di testo, sintesi vocale e comprensione del testo. In queste ultime fasi di apprendimento dello strumento sono intervenuti esseri umani che hanno addestrato il modello interagendo con esso e alimentandolo con le proprie conversazioni. In seguito a questi miglioramenti, ChatGPT fornisce risposte più articolate, pertinenti e reali. Negli ultimi mesi, esperti di tutti i campi si sono avvicendati mettendo alla prova ChatGPT e alcuni hanno sollevato dubbi sulla sicurezza informatica, sostenendo che possa essere utilizzato per creare nuovi malware e nuove minacce informatiche per gli utenti.
I tre pericoli per la sicurezza
Panda Security ha individuato 3 principali pericoli di cybersicurezza legati a ChatGPT: email di phishing, script dannosi e malware, e social engineering.
ChatGPT potrebbe essere infatti utilizzato per scrivere e-mail e testi per siti di phishing senza i soliti errori ortografici che aiutano a riconoscere i tentativi di phishing.
Inoltre, se ChatGPT ha una funzionalità di moderazione dei contenuti che risponde ai criteri morali dei suoi sviluppatori, se venisse alimentato con stringhe di codice dannoso sarebbe in grado di replicarle e combinarle. Potenzialmente, poi, è possibile fare domande a ChatGPT e ottenere informazioni per confezionare un attacco di spear phishing o social engineering ai danni di una persona. Tutto dipende da quante informazioni sono online e vengono incluse nel feeding del modello.
Attenzione ai falsi account di OpenAI
Di fatto, i cybercriminali ne hanno già approfittato. Hanno infatti elaborato una campagna sui social network dove hanno creato account simili a quelli ufficiali di OpenAI, che però promuovono download di un programma fittizio come client desktop per ChatGPT. Scaricato come un file eseguibile, apparentemente il programma non completa il processo di installazione. In realtà, prosegue all’insaputa dell’utente installando un Trojan stealer progettato per rubare informazioni relative agli account salvati sui browser. In particolare, cookie e credenziali di accesso dagli account di Facebook, TikTok e Google (soprattutto quelli riconducibili ad aziende per ottenere informazioni sensibili aggiuntive).